ESA的安全防护提供了智能限频、安全分析、规则模板、自定义规则等多种防护策略。帮助您快速选择并搭建适合自身业务场景的防护策略,保护您的网站。
四种策略
为了保护您的网站和应用免受各类Web攻击,我们为您设计了四种防护策略,部署难度由浅入深。本文将帮助您根据自身的业务场景和技术背景,快速选择并配置最适合您的WAF防护方案。
策略名称 | 适用场景 | 上手难度 | 核心优势 |
智能限频 | 个人开发者、新上线的小型网站 | ★☆☆☆ (极低) | 一键开启AI自动防护,零配置成本 |
通过安全分析创建规则 | 网站已稳定运行,希望主动发现并处置潜在威胁 | ★★☆☆ (较低) | 数据驱动,精准定位异常流量,快速响应 |
通过模板创建规则 | 遭遇常见攻击,或有明确的通用防护需求 | ★★★☆ (中等) | 官方模板覆盖常见场景,高效部署 |
自定义创建规则 | 有复杂或独特的安全需求,需精细化控制 | ★★★★ (较高) | 灵活满足任何复杂场景的防护需求 |
策略一:一键开启,智能限频
这是最简单、最快捷的防护方式,特别适合安全入门用户。
开启智能限频是结合了ESA AI引擎的自动化频次控制功能。您只需开启功能并选择一个防护等级,系统就会根据您站点过去7天的访问数据,智能地学习并设定一个合理的访问频率上限,自动拦截超出正常范围的恶意请求,无需手动设置阈值。有效防护初级的CC攻击(即通过大量请求耗尽服务器资源的攻击)和恶意的网络爬虫,保障您业务的基本流畅性。
适用场景
个人开发者或初创企业:网站刚上线,访问量不大,希望以最低的配置成本获得基础的CC攻击防护。
安全新手:对WAF配置不熟悉,希望有一个“一键搞定”的解决方案。
注意事项
生效时间:开启后约10秒钟生效。
拦截周期:触发限频的IP地址将被持续拦截约24小时。
误拦处理:如果发现有正常用户的IP被误拦截,您可以在 WAF防护 > 白名单规则 中,将被拦截的IP加入白名单以放行。
策略二:基于安全分析,快速响应
当您的网站有了一定的访问量,您可能希望更主动地了解流量情况并应对潜在威胁。
ESA提供了强大的安全分析和事件分析看板。您可以在这里看到所有请求的详细信息(如IP、访问路径、User Agent等)。当您通过筛选和分析发现异常流量时,可以一键创建WAF规则,将其拦截。能够精准定位并快速封禁特定的恶意攻击源,例如:
封禁某个持续发起恶意请求的IP地址。
拦截某个伪装成浏览器的恶意爬虫程序(通过其独特的User Agent)。
适用场景
成长中的网站:网站流量逐渐增大,需要对访问情况进行监控,提前发现异常请求。
主动安全运维:您希望在攻击发生前就发现可疑行为(如某个IP在短时间内疯狂扫描您的网站目录),并将其扼杀在摇篮里。
注意事项
数据延迟:安全分析和事件分析的数据存在约5分钟的延迟。
操作步骤
在安全分析页面中筛选器的右侧,点击“以筛选条件创建xx规则”。
说明当您在概述模块的请求分析页签时,您可以选择以筛选条件创建 WAF 自定义规则;当您在概述模块的Bot 分析页签时,您可以选择以筛选条件创建 Bot 规则;当您在概述模块的频次控制分析页签时,您可以选择以筛选条件创建 WAF 频次控制规则。
在新增规则页面,填写规则名称和执行动作,点击确定,规则即可生效。
策略三:使用规则模板,精准防护
当您面临常见的、已知的攻击类型时,使用模板是最高效的解决方案。
我们基于海量的攻防经验,为您预制了多种常见的安全策略模板,如“禁止空Referer访问”、“防范网站后台爆破”、“放行特定IP”等。您只需选择合适的模板,填写少量必要信息(如您的网站后台登录地址),即可快速生成防护规则,部署针对性的防护策略,有效应对各类已知的Web攻击手法,加固您的网站。
适用场景
遭遇常见攻击:您的网站正在被黑客进行密码爆破、SQL注入等常见攻击。
有明确防护目标:您清楚地知道需要实现哪种防护,例如“我只想让搜索引擎的爬虫访问我的网站”。
注意事项
使用模板前,请仔细阅读模板的说明,确保您理解该模板的作用和需要填写的参数,以免配置错误影响正常业务。
操作步骤
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在概述页签,选择适合当前场景的规则模板,随后点击。
在规则创建页中,按需填写模板的参数,随后点击确定,规则即可生效。
策略四:配置规则,灵活掌控
当以上三种方式都无法满足您复杂、独特的安全需求时,您此时可以使用WAF的配置规则来配置个性化的防护策略。
这些规则允许您像搭积木一样,自由组合各种请求特征(如IP、URL、Header、Cookie、Body等)作为匹配条件,并定义相应的处置动作(如拦截、观察、放行)。ESA支持IP访问规则、白名单、扫描防护、托管规则、自定义规则和频次控制规则等多种类型。能解决所有标准策略无法覆盖的、高度定制化的安全需求,实现对网站访问流量的终极控制。
适用场景
高级安全运维:您是经验丰富的安全工程师,需要构建精细化的、多重条件的防护逻辑。
特殊业务场景:您的应用有独特的业务逻辑,需要防护策略与其紧密结合。例如,只允许携带特定Cookie的用户访问某个API。
应对复杂攻击:面对高级的、持续性的攻击(APT),攻击者不断变换手法,需要您制定灵活多变的防护策略。
操作示例
本示例以此规则来演示:对于同一个IP,如果在10秒内,对www.example.com和image.example.com的请求数超过20次,则对该IP的所有请求执行滑块挑战,持续时间1分钟。
在ESA控制台,选择站点管理,单击目标站点操作列的
> 配置WAF。在左侧导航栏,选择。
在WAF页面,选择频次控制规则,单击新增规则,根据界面提示填写规则信息。
填写规则名称。
如果请求匹配以下规则....:筛选出满足匹配规则的用户请求,请求匹配字段请参见规则表达式的组成。在该示例中,可以将匹配类型字段选择“主机名”,匹配运算符字段选择“包含以下各项”,匹配值字段填入
www.example.com和image.example.com。对缓存资源生效:频次控制可以有效抑制同一个特征的客户端访问的数量,从而减少对您源站的请求压力。但命中缓存的请求是直接由ESA响应给客户端,不会对您的源站造成压力,这部分命中缓存的请求如果您不希望使用频次控制,取消勾选即可。
且具有以下相同特征…:对满足匹配规则的请求再次进行筛选。
且频次超过…:设置在统计时长内,允许统计对象命中匹配条件的最大次数。
说明执行动作选择仅对超过频次的请求执行时,处理时长为频次时间。
WAF会在请求响应结束后进行计数,因此如果存在较多的大文件请求,较长的下载时间将导致实际开始拦截的时间延迟。
则执行…:当匹配到的请求频次达到阈值时,要执行的防护动作。可选择仅对超过阈值的请求执行操作或对超过阈值后所有符合特征的请求都执行操作。执行动作参考执行动作说明。
例如上图表示:对请求host为
www.example.com、image.example.com的所有客户端请求(包括命中缓存的请求和所有回源的请求)以请求的IP源地址为统计维度且有频次超过20次/10秒的请求则所有请求执行滑块挑战1分钟。